I ransomware non hanno ormai bisogno di presentazioni. Si tratta di quei malware che mettono sotto scacco il sistema richiedendo un “riscatto” in denaro per sbloccarlo o per “rilasciare” i file personali dell’utente.
Sì, perché i ransomware più evoluti – una volta in esecuzione sul sistema dell’utente – provvedono a crittografare tutti i dati personali usando l’algoritmo RSA a 2048 o 4096 bit.
I file originali dell’utente vengono eliminati e ne viene lasciata sul disco fisso o sull’unità SSD solamente la copia cifrata.
Le ultime varianti dei vari ransomware, inoltre, usano cancellare le cosiddette copie shadow dei file dell’utente ossia le copie di backup create da alcune versioni di Windows (Windows Vista e Windows 7, in primis). In Windows 7, ad esempio, cliccando con il tasto destro del mouse su una cartella quindi selezionando la scheda Versioni precedenti, è possibile verificare che cosa conteneva in passato e quindi recuperare i propri file.
I ransomware più “cattivi” usano il semplice comando vssadmin.exe Delete Shadows /All /Quiet
per cancellare tutte le copie shadow quindi effettuano anche un’operazione di wiping per assicurarsi che i file dell’utente non siano recuperabili con i classici programmi come PhotoRec, Recuva o Disk Drill.
Sui sistemi infetti, comunque, nulla vieta di tentare un recupero delle copie originali dei dati cancellati dal ransomware.
Un’idea potrebbe essere quella di spegnere immediatamente la macchina, rimuovere l’hard disk e collegarlo ad un altro sistema come disco esterno, per esempio usando una di queste comodissime e pratiche docking station.
A questo punto, si potrà avviare un tentativo di recupero dei dati con i software citati in precedenza. Vedere, ad esempio:
– Come recuperare file cancellati con Disk Drill
– Come recuperare file cancellati con il nuovo PhotoRec
Quando si possono recuperare i dati cifrati dal ransomware?
A parte il già citato tentativo che consiste nel provare a recuperare i dati cancellati dal ransomware usando apposite utilità, quando è davvero possibile ripristinare i dati cifrati?
Iniziamo col dire che l’algoritmo RSA non ha evidenziato debolezze intrinseche: non è quindi possibile sfruttare una sua “debolezza” per decifrare i file crittografati dai ransomware più “agguerriti”.
Poiché documenti e file personali vengono crittografati ricorrendo ad una coppia di chiavi generate dinamicamente usando l’algoritmo RSA (di solito a 2.048 bit e, ultimamente, anche a 4.096 bit), non è possibile contare su lacune nell’algoritmo per tentare un recupero dei dati cifrati.
Nell’articolo TeslaCrypt, possibile recuperare i file cifrati dal ransomware? abbiamo presentato il caso emblematico rappresentato dal ransomware TeslaCrypt: i ricercatori sono riusciti a sviluppare una routine efficace per la decodifica dei file cifrati dalle versioni di TeslaCrypt antecedenti la 3.0 solamente perché i criminali informatici avevano commesso una “leggerezza”.
Prima di tentare qualunque altra operazione, quindi, il consiglio è di verificare se esistano delle procedure per la decodifica dei file cifrati.
Per TeslaCrypt 3.0 e TeslaCrypt 4.0 è invece sufficiente seguire le indicazioni riportate nell’articolo Decodificare TeslaCrypt in tutte le varianti è possibile.
Tra le risorse più valide c’è poi Bleeping Computer che informa continuamente i lettori sulle nuove minacce e, nel caso dei ransomware, sulle modalità di rimozione dell’infezione e dei dati crittografati dal malware. Una buona base di partenza, con gli ultimi aggiornamenti, è questa pagina.
Come consiglio aggiuntivo, suggeriamo di valutare la possibilità di recuperare i dati cifrati da un qualunque ransomware con i tecnici Dr.Web.
La società russa è infatti tra quelle che ad oggi stanno investendo di più su ricerca e sviluppo sul versante ransomware. Nell’articolo Cryptolocker e altri ransomware: come decodificare i file abbiamo spiegato tutti i dettagli.
Ma come fare per proteggersi da Cryptolocker, TeslaCrypt e dai ransomware in generale?
Come proteggersi da Cryptolocker, TeslaCrypt e dai ransomware in generale
Tutti i suggerimenti che abbiamo snocciolato nell’articolo Come non prendere virus e malware quando si scaricano programmi valgono anche per proteggersi da Cryptolocker, TeslaCrypt e dai ransomware in generale.
Nel caso degli ultimi ransomware in circolazione, che hanno fatto una vera e propria strage in Italia, e a tutti i livelli (dall’utente privato fino alla grande azienda), il vettore dell’infezione è sempre lo stesso: una semplice email.
L’email sembra provenire da un contatto conosciuto e, talvolta, contiene qualche esortazione o qualche trucco di ingegneria sociale per indurre l’utente ad aprire l’allegato.
Impossibile pensare di difendere sistemi di una pubblica amministrazione o di un’azienda con i software antivirus ed antimalware tradizionali, installati sui singoli client e che utilizzano il classico approccio basato sull’impiego delle firme virali.
La totalità dei motori antivirus ed antimalware, a distanza di diverse ore dalla diffusione delle prime email vettore di una nuova variante di ransomware, spesso non riconoscono come nocivi gli allegati dei messaggi di posta.
In altre parole, se nel “momento zero” (ossia a poca distanza di tempo dal rilascio in Rete dei primi campioni di un nuovo ransomware) oppure a poche ore (o talvolta anche a distanza di qualche giorno…), si provasse ad inviare – senza mai eseguirlo – l’allegato al servizio VirusTotal, probabilmente nessuno o pochi motori di scansione riconoscerebbero la minaccia.
Con i ransomware, così come con molte altre minacce, l’utilizzo di antivirus ed antimalware che adottano meccanismi di protezione basati solo sui database delle firme virali è da considerarsi assolutamente fallimentare.
Come fare, allora, per difendersi da Cryptolocker, TeslaCrypt e dai ransomware in generale?
1) Attivare la visualizzazione delle estensioni conosciute in Windows e non fare mai doppio clic sui file con una doppia estensione
A tal proposito, suggeriamo la lettura degli articoli Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi e dell’articolo Come non prendere virus e malware quando si scaricano programmi al punto 7) Attenzione alle vere estensioni dei file.
2) Assicurarsi di utilizzare un valido sistema antivirus/antispam lato server
Suggeriamo di scegliere un fornitore del servizio di posta elettronica che metta a disposizione un valido sistema antivirus/antispam operativo lato server. In questo modo, con buona probabilità, il provider sposterà nella posta indesiderata le email spedite dagli autori del ransomware.
Dal momento che tali messaggi utilizzano tecniche di mail spoofing, vengono inviate da server spesso coinvolti nell’invio di spam ed hanno una struttura simile ai messaggi indesiderati, è possibile che con un buon sistema antivirus/antispam lato server i messaggi contenenti gli allegati nocivi non arrivino mai (o quasi) nella posta in arrivo (vedere anche Perché le mie email vanno nella cartella spam?).
È ovvio che è necessario porre la massima attenzione a quel “quasi”. Se alcune mail veicolo del ransomware dovessero arrivare nella casella di posta in arrivo, si dovrà essere certi di riconoscerle.
3) Non dare credito a nessun messaggio, neppure a quelli che sembrano arrivare da mittenti conosciuti: le intestazioni dell’email possono aiutare
Senza neppure aprire l’email, selezionando il messaggio e usando la combinazione di tasti CTRL+U
, ci si accorgerà che il messaggio non è assolutamente partito dal server cui si appoggia il mittente.
Molto spesso, esaminando le intestazioni, si rileveranno indirizzi IP stranieri, a conferma che il messaggio è quanto meno fasullo e, molto probabilmente, pericoloso.
A tal proposito, suggeriamo la lettura dell’articolo Come riconoscere email phishing.
4) Usare un account utente standard
Quando si lavora quotidianamente in Windows, suggeriamo di utilizzare un account utente dotato di privilegi standard (e non un account amministrativo).
In caso di infezione da ransomware il danno sarebbe più limitato (ai soli file dell’utente in uso), l’aggressione non potrebbe diffondersi altrove e sarebbe possibile recuperare le copie shadow (per cancellarle, come visto ad inizio articolo, sono infatti richiesti i diritti di amministratore).
L’account amministratore dovrà essere utilizzato solo per le attività che ne richiedono strettamente l’utilizzo.
5) Utilizzare Cryptoprevent
La snella utilità Cryptoprevent, della quale abbiamo più volte parlato in passato, non fa altro che impostare una serie di policy di sistema bloccando l’esecuzione di file da alcune aree “sensibili” di Windows.
Gran parte dei ransomware, quando vengono eseguiti, iniziano a copiare dei file necessari per il loro funzionamento nella cartella TEMP di Windows.
Inibendo l’esecuzione dei file da tale cartella, ci si potrà automaticamente proteggere da molte tipologie di ransomware.
Nell’articolo Bloccare esecuzione di programmi in Windows abbiamo spiegato nel dettaglio come usare Cryptoprevent.
Va detto che le limitazioni che è possibile imporre ricorrendo a Cryptoprevent possono impedire la corretta installazione di alcuni software del tutto legittimi. Anche questi ultimi, infatti, se dovessero appoggiarsi alla cartella TEMP, mostreranno un messaggio d’errore.
In questi frangenti, consapevoli di cosa si sta facendo, si potrà temporaneamente disattivare la protezione configurabile con Cryptoprevent.
6) Utilizzo di HitmanPro.Alert 3 con CryptoGuard
Sebbene, come le altre soluzioni similari, non possa essere infallibile, HitmanPro.Alert aiuta a bloccare tempestivamente anche le infezioni da ransomware.
HitmanPro.Alert effettua costantemente un’analisi comportamentale scovando malware sconosciuti non appena dovessero provare ad effettuare operazioni pericolose sul sistema dell’utente.
Nel caso dei ransomware, la funzionalità CryptoGuard di HitmanPro.Alert, ad esempio, è capace di rilevare e bloccare per tempo ogni tentativo di cifrare i dati memorizzati su disco.
HimanPro.Alert è un software imbattibile per quanto riguarda la protezione antiexploit (vedere Browser più sicuro, quali i passaggi da seguire), purtuttavia, nel caso dei ransomware, la protezione potrebbe non essere totale, soprattutto nel caso delle varianti recentemente apparse online.
HitmanPro.Alert, quindi, è una delle migliori misure di protezione che si possano implementare ma, al solito, è bene non affidarcisi completamente. Il download di HitmanPro.Alert può essere effettuato da questa pagina.
7) Utilizzo di un software antivirus che integri anche analisi comportamentale ed intelligenza collettiva
Se l’approccio basato sull’utilizzo esclusivo delle firme virali si è sempre confermato largamente fallimentare nella lotta contro i ransomware, prodotti antimalware che usano anche o soltanto analisi comportamentale ed intelligenza collettiva possono offrire un buon livello di protezione.
Nell’articolo Antivirus gratuiti, ecco i migliori, abbiamo presentato prodotti completamente gratuiti che integrano le due funzionalità citate.
8) Gestione della cronologia dei backup
Le ultime varianti dei vari ransomware sono in grado, una volta in esecuzione sul sistema dell’utente, non soltanto di crittografare i file contenuti sulla singola macchina ma di cifrare anche tutti quelli contenuti all’interno della rete locale (quindi anche i file memorizzati su altre workstation o su server NAS).
Se una cartella condivisa in rete locale fosse raggiungibile ed accessibile dal sistema infetto, è altamente probabile che il ransomware inizi a cifrare anche il contenuto di tali risorse.
Non solo. Se una cartella condivisa o comunque sincronizzata sul cloud (si pensi ai client di OneDrive, di Dropbox o di Google Drive) fosse accessibile dall’interfaccia di Windows attraverso Esplora risorse, il ransomware cifrerà anche i dati salvati “sulla nuvola”.
I vari servizi cloud citati integrano funzionalità per accedere alla cronologia dei file memorizzati: ciò significa che di solito è possibile recuperare le precedenti versioni (non cifrate) di un file.
La stessa filosofia dovrebbe essere applicata alle politiche di backup impostate in ambito locale.
Il nostro consiglio è quello di dotarsi di strumenti di backup che possano conservare più versioni degli stessi file e delle stesse cartelle. Il sistema o il server che effettua i backup periodici può collegarsi ai client connessi in rete locale avendo però cura di mantenere più versioni degli stessi file.
Un server NAS come quello presentato nell’articolo Server NAS, il DS216 di Synology provato per voi abilita l’utilizzo del backup multiversione nella rete locale ma è possibile usare tutta una serie di soluzioni a costo zero alle quali dedicheremo un articolo a breve.